Вредоносный софт сегодня — определённо не единственная угроза безопасности для пользователей (как индивидуальных, так и корпоративных), однако основой любых решений по безопасности остаются инструменты для выявления и борьбы именно с вредоносными программами. Причин тому несколько. На первом месте — исторические: как известно, всё начиналось с вирусов. А первые решения по защите компьютеров, соответственно, именовались «антивирусами», и до сих пор большинство людей, не погружённых в тематику защиты информации, именно так и называют любые, даже самые комплексные защитные решения. И ожидают от них в первую очередь именно борьбы с «вирусами», хотя, как уже сказано, ими дело не ограничивается.
В решении Kaspersky Endpoint Security встроен широкий набор средств для выявления и защиты от вредоносных программ, в который входят сигнатурный и эвристический (проактивный) сканеры, а также файловый и почтовый антивирусы. «Антивирусами» также называются модули для отражения сетевых угроз и опасных сообщений в средствах мгновенного обмена сообщениями («Веб-антивирус» и «IM-антивирус»), хотя, строго говоря, они предназначены не столько для борьбы собственно с вредоносными программами, сколько с фишинговыми сообщениями и веб-атаками.
Выявление вредоносных программ традиционно осуществлялось по их сигнатурам. Сигнатурный метод используется уже не первое десятилетие и должным образом зарекомендовал себя в отрасли — в том числе экономным потреблением системных ресурсов.
Однако на сегодняшний день ежедневный прирост количества новых вредоносных программ превосходит отметку в двести тысяч (!); это лавина, с которой эффективно бороться с помощью одного только сигнатурного метода невозможно по объективным причинам.
Поэтому задействуется также ряд других методик. В первую очередь, речь идёт о проактивном методе, позволяющем обнаружить вредоносные программы, исходя из их попыток выполнить определённые действия. Например, для троянских программ характерны попытки получить доступ к системному реестру, самокопирование программы на сетевые ресурсы, в каталог автозапуска, в системный реестр с последующей рассылкой своих копий, перехват ввода данных с клавиатуры, скрытая установка драйверов, попытки внести изменения в ядро операционной системы, создание скрытых объектов, процессов с отрицательными значениями идентификаторов или внедрение в другие процессы, и так далее.
Наши продукты отслеживают и анализируют эти и другие виды активности с помощью статического набора эвристик — моделей или шаблонов подозрительной активности приложений. Как и сигнатуры, такие шаблоны регулярно обновляются: эта технология позволяет при обнаружении нового вируса или новой модификации уже известного вредоносного ПО обновлять не весь модуль проактивной защиты, а добавлять новую сигнатуру в базу эвристик и обновлять ее вместе с антивирусными базами продукта. Таким образом, какая-либо новая вредоносная программа может «внешне» значительно отличаться от уже известных, но если она ведёт себя так же, антивирусные модули наших решений её заблокируют.
За проактивную защиту в Kaspersky Endpoint Security для Windows с восьмой версии отвечает компонент System Watcher. В его состав ходит набор шаблонов (Behavior Stream Signatures, BSS) — моделей вредоносного поведения, по которым можно вычислить неизвестное вредоносное программное обеспечение ещё до того, как информация о нём заносится в базы сигнатур.
System Watcher обменивается информацией с другими компонентами антивирусного ПО и, запоминая цепочки событий, формирует целостную картину поведения и регистрирует следы каждой отдельной программы и групп программ. Это значительно повышает точность обнаружения вредоносного ПО. Стоит также иметь в виду, что System Watcher отслеживает действия программ не только в текущей сессии, а на протяжении всего жизненного цикла программы.
Для дополнительного ускорения работы компонентов антивирусной защиты Kaspersky Endpoint Security для Windows с файлами на компьютере ещё в восьмой версии были реализованы две функции под названием iSwift и iChecker.
Принцип работы iChecker основан на подсчете и запоминании контрольной суммы (цифровой подписи) проверяемого объекта. При любой модификации объекта меняется его контрольная сумма. iChecker сохраняет информацию об изменении контрольной суммы в специальную таблицу и при последующей проверке сравнивает предыдущую и текущую контрольные суммы, и если изменений не обнаруживается, то файл исключается из проверки.
iChecker работает не только с файлами, но и с объектами автозагрузки, вложенными почтовыми сообщениями и т.п.
iSwift — это вариант iChecker, написанный для файловой системы NTFS. Преимущество этой файловой системы заключается в том, что каждому объекту в ней присваивается свой NTFS-идентификатор. iSwift сравнивает NTFS — идентификатор cо значениями, которые она хранит в специальной базе данных. И в случае, если значения в базе данных не совпадают с NTFS-идентификаторами, то объект проверяется.
Необходимость высчитывать контрольную сумму при этом отсутствует, благодаря чему iSwift может работать с файлами любых размеров (в отличие от iChecker). Файл, однако, заново проверяется при копировании, так как технология привязана к конкретному местоположению. К тому же, iSwift можно использовать только в файловой системе NTFS.
Помимо описанных сигнатурного и проактивного методов защиты, в наших корпоративных продуктах применяется ещё один способ оперативного выявления новых угроз: речь идёт об интеграции System Watcher с Kaspersky Security Network.
KSN — это облачный сервис, к которому на сегодняшний день подключены более 60 млн пользователей по всему миру. С согласия каждого пользователя антивирусного приложения в KSN отправляются данные о попытках заражения компьютера и о подозрительной активности программ. Полученные данные распределённо обрабатывает экспертная система, и информация о только что появившихся угрозах и источниках их распространения становится доступной всем пользователям продукта в течение 40 секунд. Для сравнения, по данным исследования, проведенного во втором квартале 2010 года компанией NSS Labs, на «ручную» работу по блокированию веб-угроз у антивирусных компаний уходит от 4,62 до 92,48 часа.
Дальнейшее принципиальное повышение скорости реакции на угрозы с помощью обычных антивирусных обновлений невозможно, так как затраты времени на обнаружение зловредов, их последующий анализ и тестирование формируемых антивирусных обновлений уже сведены к минимуму.
В свою очередь, уровень детектирования эвристических методов, даже самых продвинутых, составляет в среднем 50-70%, соответственно, 30-50% вновь появляющихся угроз эвристики не детектируют.
Kaspersky Security Network вбирает в себя и анализирует огромные объёмы данных о новых угрозах и позволяет реагировать практически мгновенно: «облачным» технологиям на выявление и детектирование новых угроз необходимы минуты, а то и секунды. Если в той или иной программе выявлена вредоносная составляющая, информация о ней передаётся в Систему мгновенного детектирования, откуда распространяется клиентам.
В целом, использование Kaspersky Security Network позволяет, во-первых, сократить до минимума время реагирования на угрозы, во-вторых, существенно сократить трафик, расходуемый на обновления антивирусных баз, и в-третьих, минимизировать количество ложных срабатываний защитного решения.
KSN также активно применяется для борьбы с вредоносными ссылками и спамом. Подробную информацию о принципах работы Kaspersky Security Network можно найти здесь.
В качестве наиболее радикальной (но при этом рабочей) меры борьбы с угрозами в наших корпоративных решениях применяется также технология белых списков. Но об этом — в следующей части.